php 提供四个函数来防止 sql 注入：mysqli_real_escape_string() 转义特殊字符。pdo::quote() 根据数据库驱动程序转义字符串。htmlspecialchars() 转义 html 特殊字符。filter_var() 使用 filter_sanitize_special_chars 标志过滤变量。

PHP 避免 SQL 注入的函数

SQL 注入是一种网络攻击技术，攻击者通过注入恶意 SQL 语句来访问或破坏数据库。为了防止 SQL 注入，PHP 提供了以下函数：

1. mysqli_real_escape_string()

该函数用于转义特殊字符，防止 SQL 注入。它接受两个参数：$mysqli_link 和 $escape_string。$mysqli_link 是一个指向 MySQL 链接的链接标识符，而 $escape_string 是要转义的字符串。

立即学习“PHP免费学习笔记（深入）”；

2. PDO::quote()

PDO (PHP 数据对象) 提供了另外一种防止 SQL 注入的方法。该函数接受一个字符串参数，并返回一个转义后的字符串。与 mysqli_real_escape_string() 相比，PDO::quote() 更灵活，可以根据不同的数据库驱动程序进行转义。

3. htmlspecialchars()

该函数用于转义 HTML 特殊字符，防止跨站点脚本 (XSS) 攻击。它接受两个参数：$string 和 $flags。$string 是要转义的字符串，而 $flags 指定要使用的转义标志。

4. filter_var()

该函数用于过滤变量，验证和清理数据。要防止 SQL 注入，可以使用 FILTER_SANITIZE_SPECIAL_CHARS 标志。

使用示例：

$mysqli = new mysqli("localhost", "username", "password", "database");

$query = "SELECT * FROM users WHERE username = '" . mysqli_real_escape_string($mysqli, $username) . "'";

$pdo = new PDO("mysql:host=localhost;dbname=database", "username", "password");

$statement = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$statement->bindParam(":username", $username, PDO::PARAM_STR);

结论：

通过使用 PHP 提供的这些函数，程序员可以有效地防止 SQL 注入和跨站点脚本攻击，从而保护应用程序免受恶意攻击者的侵害。